Összefoglaló
PrimeFaces plugin sérülékenységei váltak ismertté, melyeket kihasználva a támadó tetszőleges kódot futtathat az alkalmazás szerveren.
Leírás
A sérülékenységeket az okozza hogy egy felhasználó tetszőleges Expression Language kódot illeszthet be a PrimeFaces custom EL értelmezőjébe.
A sérülékenységek az Oracle Netbeans-ben reprodukálhatóak.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
execute codeHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: github.com
Egyéb referencia: blog.mindedsecurity.com